AR2240与AR2200对接IPSEC其中一台内部服务器不能访问

发布时间:  2016-02-17 浏览次数:  155 下载次数:  0
问题描述

AR2240与AR2220对接IPSEC后,其它都正常。但AR2220内网都不能访问AR2240下的一台服务器,服务器IP(192.168.168.5)

处理过程

1.检查两端IPSEC VPN状态,均正常。

[zongbu]display ipsec sa

===============================
Interface: GigabitEthernet0/0/1
Path MTU: 1500
===============================

  -----------------------------
  IPSec policy name: "ipsec2220"
  Sequence number  : 1
  Acl group        : 3999
  Acl rule         : 0
  Mode             : ISAKMP
  -----------------------------
    Connection ID     : 49
    Encapsulation mode: Tunnel
    Tunnel local      : X.X.25.155
    Tunnel remote     : X.X.34.99
    Flow source       : 192.168.31.0/255.255.255.0 0/0
    Flow destination  : 192.168.168.0/255.255.255.0 0/0
    Qos pre-classify  : Disable
    Qos group         : -

    [Outbound ESP SAs]
      SPI: 1958137939 (0x74b6d053)
      Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MD5
      SA remaining key duration (bytes/sec): 1887378828/3129
      Max sent sequence-number: 987
      UDP encapsulation used for NAT traversal: N

    [Inbound ESP SAs]
      SPI: 1184663445 (0x469c8795)
      Proposal: ESP-ENCRYPT-DES-64 ESP-AUTH-MD5
      SA remaining key duration (bytes/sec): 1887378444/3129
      Max received sequence-number: 987
      Anti-replay window size: 32
      UDP encapsulation used for NAT traversal: N

2.检查ping发起端和服务器端是否都在IPSEC 感兴趣流中。

源:192.168.31.3  目的:192.168.168.5

 

3.检查配置,发现配置中有NAT SERVER命令其内网地址正好为192.168.168.5

nat server protocol tcp global current-interface 3389 inside 192.168.168.5 3389

删除该条NAT SERVER后,访问该服务器正常。

 

根因

配置nat server后,ipsec流量能正常进入,但当数据返回时会先命中nat server造成源地址转换为公网地址,不会进入IPSEC隧道中。造成服务器不能访问。


 

解决方案

该问题有二种解决方法:

1.删除NAT SERVER

2.在NAT SERVER中增加ACL匹配条件


创建一个acl,拒绝3389号端口
[Huawei]acl 3333
[Huawei-acl-adv-3333]rule deny tcp  destination-port eq 3389

interface GigabitEthernet0/0/1
nat server protocol tcp global interface current-interface  3389 inside 192.168.168.5 3389 acl 3333

 

END